vrijdag 26 juni 2020

Laboratorium


Gisteren was ik op een voor mij atypische locatie. Het mag een klein wonder heten dat ik überhaupt ergens heen ging – dit was mijn eerste niet-thuiswerkdag sinds het ingaan van de ophokplicht. Maar waar ik gisteren was, zijn ze gewend om ook in coronatijd naar het werk te gaan, omdat ze thuis nu eenmaal de benodigde spullen niet hebben. Ik was op bezoek bij een laboratorium.

Zo’n lab heeft apparatuur die je, zacht uitgedrukt, niet-standaard zou kunnen noemen. Vaak zit daar ook een bijgeleverde computer aan vast. Van ziekenhuisapparatuur is bekend dat ze vaak wordt aangestuurd door verouderde computers en dat is in een lab niet anders. Een fabrikant levert een kant-en-klaar, compleet apparaat af, en dat kant-en-klaar moet je letterlijk nemen: als het apparaat bij zijn geboorte was voorzien van een computer op basis van Windows XP, dan draait die computer nog steeds op dit zwaar verouderde en daardoor onveilige besturingssysteem. En daar kun je weinig aan doen.

Als je risicovolle spullen in je technische infrastructuur hebt, dan doe je er goed aan om die af te zonderen van de rest. En dat is precies wat hier nu wordt gerealiseerd: het laboratorium wordt netwerktechnisch gescheiden van de rest van de organisatie. Mocht er dan een keer iets mis gaan, dan is de kans groot dat de ellende beperkt blijft tot het lab.

Zo’n eigen netwerk brengt verantwoordelijkheden met zich mee. En daarom was ik opgetrommeld om een presentatie over cybersecurity te geven. De titel daarvan luidde: Veiligheid in het lab – nu eens anders. In een lab wordt natuurlijk al heel veel aandacht aan veiligheid geschonken, maar nog niet per se aan ‘mijn soort’ veiligheid. Daar moest dus aandacht voor worden gevraagd. Rode draad in mijn verhaal was de ransomware-aanval op de Universiteit Maastricht van afgelopen kerst. De universiteit heeft het onderzoeksrapport van Fox-IT gepubliceerd, zodat wij er allemaal van kunnen leren. Een zekere verwantschap tussen een universiteit en een laboratorium maakte deze kapstok extra toepasselijk.

Het begon in Maastricht met een phishingmail en om die reden stond ik uitgebreid stil bij deze vorm van criminaliteit. Het wordt steeds moeilijker om phishing te herkennen, simpelweg omdat de mailtjes er net echt uitzien. Ook de links, waar ze je op willen laten klikken, kunnen net echt uitzien, bijvoorbeeld doordat een schreefloze kleine letter L er net zo uitziet als een hoofdletter i, zoals ik hier al eerder heb beschreven. Ook kwam typosquatting aan de orde: het misbruik maken van andermans typfouten, waardoor je op een nepsite terechtkomt en daar allerlei gegevens invult die je eigenlijk niet met vreemden had willen delen. Het is niet fijn om te zeggen, maar toch moet de boodschap ten aanzien van e-mail luiden: wees altijd op je hoede – zelfs bij bekende afzenders.

Een ander leerpunt uit Maastricht is iets wat we ook al lang wisten: je moet alle software accuraat updaten om niet extra kwetsbaar te zijn. De reden hiervoor is simpel: alle software bevat fouten, gewoon vanwege de omvang en de complexiteit. Een deel van die fouten tast je beveiliging aan. Het is de vraag wie zo’n fout als eerste ontdekt: de goeien of de kwaaien. Als de kwaaien er als eerste achter komen, dan heb je te maken met een zero-day vulnerability: een kwetsbaarheid die nog niet bekend is bij degene die verantwoordelijk is voor de software. Maar ook als de goeien er als eerste achter komen en een patch voor het programma uitbrengen, ben je nog niet veilig: die patch moet namelijk wel geïnstalleerd worden hè. En dat doen veel mensen en organisaties niet accuraat. Hierdoor kon de WannaCry-ransomware in 2017 wereldwijd 230.000 computers besmetten – twee maanden nadat Microsoft een patch had uitgebracht.

Maar dat up-to-date houden is dus lastig in een lab met al die systemen waar een computer bij geleverd is volgens het kant-en-klaarprincipe. Tenzij je daarover slimme afspraken maakt met je leverancier. Daar ligt volgens mij de sleutel voor het beveiligen van systemen in ziekenhuizen, laboratoria en al die andere plekken waar een computer wordt gebruikt om een apparaat aan te sturen. Je sluit bij de aanschaf sowieso een onderhoudscontract af, stel dan ook eens de simpele vraag: wat doen jullie gedurende de levensduur van het apparaat om het te beveiligen tegen cyberaanvallen? En laat je dan niet afschepen met “Oh, maar hij hangt niet aan het internet.” Er is vast wel ergens een actieve USB-poort, die zeer geschikt is om allerlei ellende naar binnen te kruien. En dan zul je net zien dat een nietsvermoedende medewerker daar een wazige UBS-stick in prikt. Met in potentie desastreuze gevolgen.

En in de grote boze buitenwereld …


... vestigt ook het kabinet nog eens de aandacht op het belang van updaten, maar dan specifiek gericht op IoT-apparaten.
https://www.security.nl/posting/662562/Kabinet%3A+herhaling+campagne+nodig+om+updategedrag+te+veranderen

... is het aantal phishingwebsites in het .nl-domein sterk gestegen.
https://www.security.nl/posting/662567/Sterke+stijging+van+aantal+phishingwebsites+in+_nl-zone

... vertelt een voormalige IAM-expert van Maersk uitgebreid over de ransomware-aanval die het bedrijf in 2017 platlegde.
https://gvnshtn.com/maersk-me-notpetya/#learn

... adviseert het Digital Trust Center over het maken van backups. Het DTC is voor het bedrijfsleven wat het NCSC voor de overheid en de vitale sector is. Het zijn allebei overheidsorganisaties.
https://www.digitaltrustcenter.nl/back-up

... durft het Amerikaanse leger het aan om thuiswerkende soldaten geheime informatie te laten raadplegen.
https://www.armytimes.com/2020/06/22/the-army-will-soon-allow-users-to-access-classified-info-from-home/

... gaat de Belastingdienst een rol spelen in de exploitatie van de corona-app. Het SOC speelt daar een belangrijke rol in.
https://www.rtlnieuws.nl/tech/artikel/5161781/corona-app-belastingdienst-test-juli-privacy-security

... komen WhatsApp-fraudeurs via foute callcentermedewerkers aan de gegevens van hun slachtoffers.
https://www.rtlnieuws.nl/nieuws/nederland/artikel/5156656/whatsapp-fraude-illegale-handel-privegegevens-vijftigplussers

... pikte ook de Tweede Kamer die melding op.
https://www.security.nl/posting/662281/SP+wil+opheldering+over+handel+in+privégegevens+afkomstig+uit+callcenters

... bevat de belastingsoftware van een Chinese bank malware.
https://www.security.nl/posting/662476/Securitybedrijf+vindt+malware+in+belastingsoftware+Chinese+bank

... beschuldigt EC-president Von der Leyen China van het uitvoeren van cyberaanvallen op ziekenhuizen tijdens de coronacrisis.
https://www.politico.eu/article/eu-calls-out-china-for-hitting-hospitals-with-cyberattacks/amp/

... ziet Duitsland Rusland als bedreiging voor de kritische infrastructuur.
https://www.cyberscoop.com/german-intelligence-memo-berserk-bear-critical-infrastructure/

... hebben EU-burgers dankzij de AVG een sterkere positie verworven.
https://ec.europa.eu/commission/presscorner/detail/nl/ip_20_1163

... vormen drones juist weer een bedreiging voor onze privacy.
https://www.security.nl/posting/662171/Dekker+brengt+privacyrisico%27s+van+spioneren+met+hobbydrones+in+kaart



Gepost door op Geen opmerkingen:
Labels: , , , , , ,

vrijdag 19 juni 2020

Jurist & beveiliging


Juristen kunnen goede vragen stellen, heb ik gemerkt. Dat wisten we natuurlijk al – ze verdienen er zo ongeveer hun brood mee, lijkt me. Maar soms komen ze dus ook met slimme vragen als het om informatiebeveiliging gaat.

Zo was er onlangs iemand die naar de rechtbank moest en daarvoor afdrukken van documenten nodig had. Ze wist dat ze die niet naar haar privéaccount mocht mailen om ze vervolgens op haar privéprinter af te drukken. Maar ze had wel een alternatief gevonden: bij haar printer hoort een app, waarmee ze vanaf haar iPad ‘rechtstreeks’ kan printen. Gelukkig informeerde ze eerst of het gebruik van die app is toegestaan. Printen op deze wijze is namelijk helemaal niet zo rechtstreeks, maar gaat in veel gevallen via de cloud. Je weet wel, de computer van iemand anders. In dit geval die van Apple, want de bewuste app maakt gebruik van de iCloud. Onze documenten horen niet in de publieke cloud te staan, want we hebben vaak onvoldoende zekerheid over de bescherming van informatie die daar staat en als de servers van die cloud zich buiten Europa bevinden, heb je al gauw met de AVG te maken. Ik kon deze collega nog wel een tip aan de hand doen: je kunt proberen of je printer werkt als je hem met een USB-kabel aan je laptop aansluit. Soms werkt dat (namelijk als er op je laptop een geschikte driver voor die printer staat). Vraag je wel af of je die printjes écht nodig hebt. In de thuissituatie zijn je digitale documenten beter beschermd dan papier.

Een andere jurist ging niet naar de rechtbank, maar zou vanuit zijn eigen huis deelnemen aan een online zitting. Hij vroeg zich af of ‘ze’ in staat zouden zijn om zijn privéadres te achterhalen, bijvoorbeeld middels het gebruikte IP-adres (het adres waarmee een computer aan het internet hangt). De rechtbank zou gebruik maken van Skype for Business en op basis daarvan ben ik eens wat gaan rondneuzen. Ik vond bij Microsoft, de fabrikant van Skype, keurige documentatie over verschillende types contactpersonen en wat die van jou kunnen zien en hoe je dat kunt beïnvloeden. Die handleidingen gaan er echter wel van uit dat je een account hebt; je hebt er weinig aan als je als gast deelneemt aan een sessie. Verder vond ik nog wat onafhankelijke artikelen die beschreven dat je in ieder geval bij het gewone Skype (de niet-businessversie) IP-adressen kunt achterhalen.

Met al die informatie kon ik geen sluitend antwoord op de gestelde vraag formuleren. Adequaat beveiligen betekent dat je kijkt hoe groot een dreiging voor jou is en hoeveel moeite je moet, kunt en wilt doen om je daartegen te beschermen. Ik weet niet hoe spannend deze specifieke zitting zou zijn, maar ik kon deze collega wel een paar tips geven. Ten  eerste: zet wifi uit op het apparaat waarmee je gaat skypen en maak in plaats daarvan gebruik van een 4G-verbinding. Daardoor geef je je IP-adres niet prijs. Als het apparaat zelf geen simkaart heeft, dan kun je de wifi-hotspot van je (zakelijke) smartphone gebruiken. Ten tweede: zet als extra maatregel ‘locatie’ uit op de smartphone. En ten derde, als het een héél spannende zitting is: ga te rade bij een digitaal rechercheur. Overigens waren mijn adviezen een beetje sneu voor deze collega, omdat een smartphone niet bij zijn functie hoort en hij het dus moet doen met een niet-slim toestel. Misschien kan deze case onze werkgever erbij helpen om dergelijke functionarissen ook op het zakelijke vlak de eenentwintigste eeuw binnen te loodsen.

En dan was er nog die collega bij wie thuis werd ingebroken, waarbij zijn zakelijke laptop werd meegenomen. Een klant, wiens persoonlijke gegevens op die laptop stonden en die over de diefstal geïnformeerd was, stuurde een waslijst aan specifieke vragen op, bijvoorbeeld over versleuteling, het blokkeren van de laptop en over tijdstippen. De teamleider van de onfortuinlijke collega, een jurist, kwam via omwegen bij mij terecht en vroeg me te helpen bij de beantwoording van de vragen. De meeste vragen konden in algemene zin worden beantwoord: al onze laptops zijn versleuteld. Ook al haalt de inbreker de harde schijf (vergeef me deze nostalgische term) eruit en koppelt hij haar aan een andere computer, de inhoud blijft voor hem verborgen. Tenzij op die laptop een geeltje met user-id en wachtwoord geplakt zat, natuurlijk. Want voor een legitieme gebruiker – of iemand die over diens credentials beschikt – is de versleuteling transparant, zoals dat zo mooi heet. Zo’n geeltje was er natuurlijk niet, want iedereen weet dat je dat niet moet doen. Als het nodig is om je wachtwoord op te schrijven, dan bewaar je dat niet bij je laptop. De beste plek daarvoor is een password manager op je smartphone.

De inbreker kan nog proberen om een geldige combinatie van user-id en wachtwoord te raden, maar daar heeft hij maar een zeer beperkt aantal pogingen toe. Daarna blokkeert de werkplek en is het over en uit. Een geruststellende gedachte.

En in de grote boze buitenwereld …


... doen spionnen er ook goed aan om wat beter over informatiebeveiliging na te denken.
https://www.washingtonpost.com/national-security/elite-cia-unit-that-developed-hacking-tools-failed-to-secure-its-own-systems-allowing-massive-leak-an-internal-report-found/2020/06/15/502e3456-ae9d-11ea-8f56-63f38c990077_story.html

... wordt Australië aangevallen.
https://www.nu.nl/tech/6059023/australie-opnieuw-doelwit-van-cyberaanvallen-vermoedelijk-door-ander-land.html

... heeft China een quantumverbinding gelegd over een grote afstand. Een dergelijke verbinding is zowat onkraakbaar.
https://www.volkskrant.nl/wetenschap/china-zet-grote-stap-naar-quantuminternet~bf25f739/

... geeft dit artikel een kijkje in een desinformatiecampagne.
https://www.forbes.com/sites/thomasbrewster/2020/06/16/2500-posts-300-platforms-six-years-a-huge-but-mysterious-pro-russia-disinformation-campaign-is-exposed/

... is het in Amerika kennelijk raadzaam om een burner phone mee te nemen naar een demonstratie. Dit is een handleiding voor het inrichten van een demonstratiemodel.
https://theintercept.com/2020/06/15/protest-tech-safety-burner-phone/

... stopt Intel bescherming tegen malware in z’n processoren.
https://www.securityweek.com/new-security-tech-intel-cpus-protects-systems-against-malware-attacks

... kijkt de Autoriteit Persoonsgegevens kritisch naar TikTok.
https://www.ictrecht.nl/blog/autoriteit-persoonsgegevens-heeft-tiktok-in-het-vizier

... stoppen je slimme apparaten ermee als het root-certificaat verloopt.
https://www.theregister.com/2020/06/10/iot_trouble_root_certificates_expire/

... loopt de jeugdzorg achter met informatiebeveiliging.
https://www.security.nl/posting/661709/Inspectie%3A+Jeugdzorg+heeft+onvoldoende+kennis+van+informatiebeveiliging

... moet je nog steeds niet zomaar alle QR-codes scannen.
https://www.security.nl/posting/661683/Slachtoffers+qr-codefraude+voor+duizenden+euro%27s+bestolen

... moet een Zuid-Afrikaanse bank miljoenen bankpassen vervangen omdat de master key is gestolen.
https://www.security.nl/posting/661659/Postbank+vervangt+12+miljoen+bankpassen+nadat+medewerkers+master+key+stelen

... maakt de politie ook graag gebruik van social media.
https://www.security.nl/posting/661605/Politie+weet+voortvluchtige+criminelen+via+app+en+social+media+op+te+sporen

... is het nu toch echt tijd om Flash Player op te ruimen, zegt de fabrikant.
https://www.security.nl/posting/661506/Adobe+roept+gebruikers+op+om+Flash+Player+voor+2021+te+verwijderen

... uit deze professor zich kritisch over corona-apps die gebruikmaken van de technologie die Apple en Google hiervoor bieden.
https://www.security.nl/posting/661426/Hoogleraar+computerbeveiliging+kritisch+over+afhankelijkheid+van+Apple+en+Google+bij+corona-app


Gepost door op Geen opmerkingen:
Labels: , , , , ,

vrijdag 12 juni 2020

Phish gephileerd


“Goedenmiddag, zie bovenstaand document van XYZ Administratie laat me voor uw beoordeling weten of u zich zorgen maakt.” Dat was de tekst van een mailtje dan in april bij tientallen collega’s op de elektronische mat plofte. Er zat een pdf-bestand bij. Daarin stond bovenaan, in een kader, met grote letters ‘Office 365’ en het bijbehorend logo, gevolgd door: “Jannes Maatman* heeft namens u een document met u gedeeld XYZ Administratie” en een blokje “Read Now”, waar een link in zat naar sway.office.com. Sway is een product uit de Office-familie van Microsoft.

Voel je nattigheid? Eén collega belde de helpdesk hierover. Nadat hij het bestand had geopend. Toen vertrouwde hij het écht niet meer. Door dit telefoontje waren we in staat om onderzoek te doen: wie heeft dit mailtje nog meer ontvangen, wie heeft het bestand geopend en wie heeft op de link geklikt? Vervolgens heb ik de mensen, die het mailtje niet genegeerd hadden, benaderd. Niet met opgeheven vinger, maar oprecht geïnteresseerd in de omstandigheden die hen ertoe brachten om het mailtje serieus te nemen. We weten trouwens ook nog dat XYZ Administratie gehackt was, waardoor deze mailtjes via hun mailserver konden worden verstuurd.

Voor mij is vrij duidelijk dat we hier te maken hebben met phishing: ‘hengelen’ naar persoonlijke gegevens zoals wachtwoorden, pincodes, creditcardinformatie of andere persoonlijke gegevens. De mail bevat diverse rode vlaggen die phishing signaleren: een aanhef zonder naam van de geadresseerde, onverzorgd taalgebruik (geen interpunctie in de mail, kromme tekst in de bijlage: “heeft namens u een document met u gedeeld”), urgentie/nieuwsgierigheid oproepen (“of u zich zorgen maakt”), een ongevraagde mail met bijlage en ten slotte een link in die bijlage. En eerst had ik eroverheen gekeken, maar je kunt ook nog zien dat dat kader waar ‘Office 365’ in staat het resultaat is van knip- en plakwerk: langs de onderrand zie je nog de bovenkant van letters die daar gestaan hebben. En het blokje met ‘Read Now’ is juist iets te krap afgeknipt.

Ik heb dus nagevraagd waarom mensen die bijlage openden, of ze geen nattigheid voelden. Een aantal van hen kende XYZ Administratie en zelfs Jannes Maatman. Eentje deed privé zaken met het bedrijf en had het mailtje zowel op de zakelijke als op een privé-account ontvangen. Er waren ook ontvangers voor wie het normaal is om e-mail van dit soort bedrijven te ontvangen, ook als ze een specifiek bedrijf nog niet kennen. Diverse collega’s lieten weten dat ze het mailtje heel vreemd vonden – sommigen hebben zelfs contact met XYZ Administratie gezocht. En tóch de bijlage geopend. Overigens hebben de meeste medewerkers niet op de link in het bestand geklikt. Er zat al een luchtje aan die hele mail, vonden ze. En dan ook nog op een link klikken, dat ging hen toch te ver.

Informatiebeveiligers waarschuwen vaak voor onverwachte mail, zeker als er bijlagen en/of linkjes in zitten. Maar ‘onverwacht’ blijkt dus een betrekkelijk begrip te zijn als je regelmatig mail krijgt van administratiekantoren, die door jouw klanten in de arm worden genomen. Het tweetraps karakter van deze phish – link in bestand – heeft de meeste medewerkers ervan weerhouden om te klikken. Een enkeltraps phish had waarschijnlijk ‘beter’ gescoord.

Als je denkt dat iets niet deugt, dan is dat vaak ook zo. Je intuïtie is vaak een goede raadgever, ook op terreinen waarop je geen expertise hebt. En ook al komt een mailtje van een bekende afzender, dan is het nog niet per definitie betrouwbaar, want de afzender kan gehackt zijn. Of, simpeler: de crimineel heeft in het Van-veld gewoon een naam naar keuze ingevuld. Mensen, die de boel niet vertrouwden en contact zochten met XYZ Administratie, deden dat soms middels een reply op de ontvangen mail. Zo’n verificatie moet je echter altijd via een ander kanaal doen, om te vermijden dat jouw vraag bij de crimineel belandt en jij daardoor een vals positief antwoord krijgt. Bel ze op, en dan niet op het nummer dat in de mail staat, want ook dat kan vals zijn.

De phish heeft gefaald. Medewerkers die op de link klikten, kregen het bekende scherm “Niet toegestaan” te zien, omdat we het domein sway.office.com blokkeren (vanwege de kans op datalekken). Het is natuurlijk goed dat de phish werd gestopt, maar het geeft mij een onbehaaglijk gevoel dat dit gebeurde door een voorziening die daar niet primair voor is bedoeld, en dat de phish pas op het laatst mogelijke moment werd onderschept. Zolang we nog geen goede technologie hebben om deze rommel al aan de voordeur te weren, moeten we gebruikers nog beter trainen in het herkennen ervan. Oók als een mailtje prima in hun belevingswereld past.

*) De namen van het bedrijf en de persoon zijn gefingeerd, de rest is een letterlijke weergave.

En in de grote boze buitenwereld …


... wordt er momenteel erg veel gephisht en gesmisht uit naam van de Belastingdienst.
https://www.security.nl/posting/660619/Belastingdienst+ontvangt+veel+meer+meldingen+van+phishing

... vindt de rechter beveiliging een vanzelfsprekend onderdeel van een opdracht aan een IT-leverancier.
https://www.nu.nl/tech/6056499/it-bedrijf-moet-schade-door-ransomware-infectie-aan-klant-vergoeden.html

... is een Apeldoornse multinational besmet met ransomware.
https://www.volkskrant.nl/nieuws-achtergrond/hackers-gijzelen-koninklijke-reesink-impact-op-bedrijf-enorm~b075efcd/

... heeft Honda waarschijnlijk eenzelfde probleem (al gebruikt het artikel slechts de algemene term cyberattack).
https://www.bloomberg.com/news/articles/2020-06-09/honda-suspends-vehicle-shipments-after-suspected-cyberattack

... geldt voor deze bierbrouwer down under hetzelfde.
https://7news.com.au/technology/lion-australia-shuts-down-production-on-xxxx-gold-west-end-and-other-brands-after-cyber-attack-c-1089337


... doet Zorab zich voor als redmiddel bij besmetting met de STOP/Djvu-ransomware, maar in werkelijk versleutelt het je bestanden nóg een keer. [De laatste alinea van het artikel is reclame, maar voor de rest is het een goed verhaal.]
https://www.kaspersky.com/blog/fake-djvu-ransomware-decryptor/35824/

... heeft Twitter tienduizenden accounts uitgeschakeld die door statelijke actoren werden gebruikt in desinformatiecampagnes.
https://blog.twitter.com/en_us/topics/company/2020/information-operations-june-2020.html

... wordt jouw stukje cloud gekaapt door cryptominers als je het niet goed configureert.
https://arstechnica.com/information-technology/2020/06/machine-learning-clusters-in-azure-hijacked-to-mine-cryptocurrency/

... mag de Amerikaanse politie een jaar lang geen gebruik maken van gezichtsherkenningstechnologie van Amazon.
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition

... moet je even checken of je Windows 10-computer helemaal is bijgewerkt.
https://lifehacker.com/update-windows-10-now-to-block-smbghost-1843968661

... heeft Android 11 een paar aardige nieuwe security- en privacy-features.
https://www.wired.com/story/android-11-security-permissions-updates/

... werft de politie via Tweakers burgers om te helpen bij cybercrime-onderzoeken.
https://www.politie.nl/nieuws/2020/juni/8/politie-betrekt-tweakers-bij-opsporing.html

... lekte een corona-site van het RIVM medische gegevens.
https://nos.nl/artikel/2336416-lek-in-rivm-coronasite-gegevens-van-gebruikers-makkelijk-in-te-zien.html

... leidt personeelstekort bij Defensie tot een te lage testfrequentie bij kritieke systemen.
https://www.security.nl/posting/660800/Minister%3A+Defensie+kan+beveiliging+kritieke+systemen+door+personeelstekort+niet+jaarlijks+testen

... deelt het NCSC zijn ervaringen met clouddiensten.
https://www.security.nl/posting/660812/NCSC+deelt+ervaringen+met+inzet+van+publieke+en+private+clouddiensten

... overspoelt China Nederland met onveilige ip-camera’s.
https://www.security.nl/posting/660807/Consumentenbond%3A+Nederlandse+markt+overspoeld+met+onveilige+ip-camera%27s


Gepost door op Geen opmerkingen:
Labels: , , , ,

vrijdag 5 juni 2020

Te oud


Mijn smartphone is twee jaar oud. Hij doet het nog prima. Oké, ik moet af en toe een vetrandje wegsnijden, ik heb gemerkt dat het voor de goede werking van het apparaat gunstig is als zo’n tien procent van de opslagruimte vrij blijft. Wordt het geheugen te vol, dan krijgt hij nukken. Dat is redelijk goed te managen door af en toe de bezem erdoor te halen (daar bestaan apps voor) en – mijn meest recente ingreep – de foto’s niet langer op het toestel op te slaan, maar in de cloud. Die boot heb ik, als gediplomeerd cloud-scepticus, lang afgehouden. Ook voor mij geldt echter dat informatiebeveiliging om evenwicht vraagt tussen de eisen die je hebt aan de bescherming van je gegevens enerzijds en je functionele eisen anderzijds. Een belangrijke functionele eis is: hij moet het soepeltjes doen. Wordt dat belemmerd, dan moet daar een oplossing voor komen. En voor die oplossing moet je soms, weloverwogen, water bij wijn doen (Château Securité).

Waar mijn scepsis vandaan komt? Gewoon, van de drie aspecten die iedere informatiebeveiliger met de paplepel krijgt ingegoten: beschikbaarheid, integriteit, vertrouwelijk. BIV in goed Nederlands, of CIA voor de Angelsaksisch georiënteerden onder ons (Confidentiality, Integrity, Availability). Begin ik bij de B, dan vraag ik me af: is mijn fotocollectie beschikbaar als ik haar nodig heb? Door de jaren heen zijn er genoeg voorbeelden te vinden van clouddiensten die down waren, waardoor klanten niet bij hun gegevens konden. Bovendien maakt mijn telefoon, net als de jouwe, gebruik van een ‘gratis’ opslagdienst en heb ik dus weinig te willen. Integriteit gaat over de juistheid en volledigheid van gegevens. Ik ben niet bang dat ‘ze’ eens lekker gaan zitten fotoshoppen, waardoor mijn foto’s niet meer kloppen. Wat wel zou kunnen gebeuren is dat enkele foto’s zoek raken, dan is de collectie dus niet meer volledig. En tja, vertrouwelijkheid. In gebruiksvoorwaarden staat meestal dat de aanbieder van een opslagdienst letterlijk alles met jouw bestanden mag doen. Vervolgens doen ze dat natuurlijk niet, omdat het slecht voor zou uitpakken voor hun business: de meeste klanten houden niet zo van dergelijke openheid. Maar je weet nooit of er een keer een beveiligingsinstellinkje nét verkeerd staat, waardoor zomaar iemand jouw kiekjes kan bekijken.

Maar dat terzijde – ik ging het deze week helemaal niet over de cloud hebben. Het onderwerp van deze blog is nog steeds mijn telefoon, die het – mits ik regelmatig onderhoud pleeg – nog prima doet. Maar nu komt het: hij krijgt geen updates meer. En niet alleen geen Android-updates meer (daar zou ik wel mee kunnen leven), maar ook geen beveiligingsupdates meer. De laatste was van augustus vorig jaar. Oeps. Zo lang geleden al? Hoe kon dat gebeuren? Simpel. Zolang je updates krijgt, zie je daar meldingen over op je telefoon: hé, er staat een nieuwe update voor je klaar. Maar als die stroom opdroogt, dan stuurt de fabrikant van jouw toestel – want die gaat over de updates – je géén bericht dat de koek op is. Je moet dus al bijna zelf op een dag bedenken: hè, ik heb al lang geen updates meer gehad, laat ik eens kijken of ik ze überhaupt nog krijg. Op de website van de fabrikant van mijn toestel staat het klip en klaar: uw toestel wordt niet meer ondersteund.

Ik verkeer nu in gewetensnood. Moet ik een nieuwe telefoon kopen? Alleen maar omdat de mijne geen updates meer krijgt, terwijl hij nog gewoon functioneert? Computers – en dus ook smartphones – waarvan de software niet regelmatig geüpdatet wordt, lopen een verhoogd beveiligingsrisico. Alle software bevat fouten, en sommige van die fouten hebben impact op de beveiliging van het apparaat. Ze kunnen kwetsbaar worden voor aanvallen van buitenaf, waardoor een kwaadwillende inzage in je gegevens kan krijgen, gegevens kan stelen en ze eventueel laten uitlekken, of ‘in je toestel kruipen’ en er alles mee doen wat hij/zij maar wil. Geen prettige gedachte.

Gelukkig heb ik compenserende maatregelen genomen. Niet nu pas hoor, die beveiligingsmaatregelen waren er altijd al. Ik heb een virusscanner draaien. Ja, op mijn telefoon. Er is namelijk ontzettend veel malware voor Android-toestellen in de wereld. En ik heb een VPN-app (Virtual Private Network), die ervoor zorgt dat ik, wanneer ik buiten de deur op een wifi-netwerk zit, over een versleutelde verbinding beschik. Daarbij zij opgemerkt dat een VPN geen absolute beveiliging biedt; het betekent slechts dat je je vertrouwen verlegt van de aanbieder van het wifi-netwerk naar de aanbieder van het VPN.

Misschien lost mijn dilemma zichzelf op. Twee jaar geleden heeft het hele gezin dezelfde telefoon gekocht. Mijn zoon stapte vorig jaar al over op een nieuwer model, vanwege betere camera’s en meer geheugen. Die van mijn dochter crashte onlangs en was alleen via een fabrieksreset weer tot leven te krijgen. En het toestel van mijn vrouw heeft ook wel eens kuren. Waarschijnlijk gaan ze gewoon op tijd kapot en dan moeten we wel nieuwe kopen.

En in de grote boze buitenwereld …


... word ik “op mijn wenken bediend” met deze kwetsbaarheid, waarvoor mijn telefoon geen update zal ontvangen.
https://www.security.nl/posting/659430/Android-lek+laat+aanvaller+telefoons+via+%27speciale+transmissie%27+overnemen

... kan ook een achtergrondfoto je Android-toestel laten crashen.
https://tweakers.net/nieuws/167860/foto-laat-android-smartphones-crashen-bij-instellen-als-achtergrond.html

... wordt het bestaan van een VPN ook wel eens misbruikt in phishingmails.
https://www.helpnetsecurity.com/2020/06/04/office-365-users-beware-of-fake-company-emails-delivering-a-new-vpn-configuration/

... haakte de actualiteit razendsnel in op de Security (b)log van vorige week. Ook BN’ers worden het slachtoffer van WhatsApp-fraude.
https://www.destentor.nl/show/charly-luske-voor-1260-euro-opgelicht-via-whatsapp-moordneigingen~a58369ac/

... loopt er een miljardenclaim tegen Google omdat de Chrome-browser gegevens verzamelt terwijl je hem in incognito-modus gebruikt.
https://www.forbes.com/sites/daveywinder/2020/06/03/google-chrome-privacy-lawsuit-could-you-get-a-5000-payout-incognito-mode-class-action/

... volgen Amerikaanse opsporingsdiensten mobieltjes van verdachten nu vanuit de lucht. Daarbij pikken ze echter ook signalen van veel andere telefoons op.
https://www.wired.com/2014/11/feds-motherfng-stingrays-motherfng-planes/

... is het lastig om te controleren of een corona-telefoontje of -sms’je inderdaad van de GGD afkomstig is. De Britse overheid denkt dat dat wel zal meevallen.
https://www.grahamcluley.com/coronavirus-tracing-scammers/

... wordt het in Nederland wettelijk verboden om misbruik te maken van de toekomstige corona-app. Ik ben benieuwd of dat ook misbruik omvat zoals in het vorige artikel is beschreven.
https://www.security.nl/posting/659649/De+Jonge+wil+misbruik+van+corona-app+door+derden+wettelijk+verbieden

... hadden kwaadwillenden de mogelijkheid om je Apple-account over te nemen.
https://tweakers.net/nieuws/167852/bug-in-inloggen-met-apple-id-maakte-overname-account-mogelijk.html

... werkt TNO aan het quantumproof maken van verbindingen.
https://tweakers.net/nieuws/167676/tno-ontwikkelt-proxy-die-bestaande-systemen-beschermt-tegen-quantumkraken.html

... moet je kennelijk naar de rechter stappen als je wilt dat een toezichthouder een oordeel over je velt. In dit geval: VoetbalTV vs. de Autoriteit Persoonsgegevens.
https://www.security.nl/posting/659702/Autoriteit+Persoonsgegevens+aangeklaagd+door+VoetbalTV

... is de uitdrukking “never waste a good crisis” aan veel mensen niet besteed.
https://www.security.nl/posting/659404/Onderzoek%3A+mensen+wijzigen+zelden+hun+wachtwoorden+na+een+datalek

Gepost door op Geen opmerkingen:
Labels: , , , , ,
Abonneren op: Posts (Atom)